Vermummter Mann vor PC, Bild: © alphaspirit - Fotolia.com

Maschinenbauer müssen davon ausgehen Opfer von Hackern zu werden. Dafür brauchen sie einen Notfallplan. Bild: © alphaspirit - Fotolia.com

Nach der Einleitung in Teil 1 meiner Kolumne geht’s heute um Erpressungssoftware. Bereits im April hatte ke NEXT vor dieser Gefahr gewarnt. Schon einen Monat später wurde bekannt, dass der Schädling Zyklon Jagd auf über 100 Dateiformate macht. Zu den betroffenen sollen auch Konstruktionsdateien in den Formaten dwg, dxf, obj und xml gehören. Die werden per AES und 256 Bit verschlüsselt – daran sollen auch Geheimdienste scheitern.

Dann – so das Bundesamt für Sicherheit in der Informationstechnik (BSI) – „hilft meist nur ein komplettes Neuaufsetzen und Aufspielen eines Daten-Backups“. Hoffentlich wurde das Backup nicht zuvor von den Angreifern gelöscht! Und: Daten infizierter Geräte lassen sich zeitverzögert verschlüsseln. Je länger die Verzögerung, desto größer die Gefahr für die Kopien.

Kriminelle wissen, wo was zu holen ist

Nun steigern nahezu alle Maschinenbauer die Produktivität ihrer Anlagen mit Datenschnittstellen. Andererseits: Schon kleine Störungen lösen teure Verzögerungen aus. Die Sicherheitsexperten von Fortinet behaupten, die Kriminellen wüssten sehr wohl, wie erpressbar die eng verzahnte Industrie sei und wollten daraus jetzt Profit schlagen.

Das Ziel ist nicht nur definiert – auch die Technik fürs Beutemachen wird leistungsfähiger: Bisher waren die Angreifer auf Opfer angewiesen, die ahnungslos Dateianhänge öffneten. Ein spezieller Industrieschädling namens Nemucod soll jetzt ohne diese Unterstützung aktiv werden können.

Details nennt Fortinet dazu nicht – allerdings wurde bereits 2014 darüber geredet, dass der Trojaner CryptoLocker auch Fähigkeiten eines Computerwurms entwickeln könnte. Die fressen sich selbstständig und „unaufhaltsam“ durchs Unternehmensnetz. So ließen sich nach Meinung von Wissenschaftlern innerhalb von einer Stunde 800 Server mit 3200 Arbeitsplatzrechnern infizieren. Die Folge: Eine Lähmung des Unternehmens.

Computernetz in kleinere Segmente teilen

Fortinet rät: Legacy Systeme entsorgen oder wenigstens isolieren, überflüssige Software deinstallieren und das Computernetz in kleinere Segmente unterteilen. Das Wichtigste jedoch ist: „Gehen Sie davon aus, Opfer zu werden und machen einen Plan!“

Beim Planen hilft die Norm VdS 3473. Darin empfiehlt die VdS Schadenverhütung, zunächst einen „Informationssicherheitsbeauftragten“ (ISB) zu berufen. Der soll dann ein „Informationssicherheitsteam“ aus Topmanagement, dem IT-Verantwortlichen, einem Mitarbeiter der Personalabteilung und dem Datenschutzbeauftragten zusammenstellen.

Zusammen mit dem IST erstellt der ISB eine „Informationssicherheitsleitlinie“. Diese „muss vom Topmanagement beschlossen und bekannt gegeben werden“. In dieser IS-Leitlinie werden die Ziele und der Stellenwert der Informationssicherheit für das Unternehmen sowie sämtliche Positionen und deren Aufgaben für den „Informationssicherheitsprozess“ definiert. Und die Konsequenzen für das Ignorieren der Vorgaben werden genannt.

Auf dieser Basis werden zur Unterstützung und Konkretisierung der IS-Leitlinie spezielle „IS-Richtlinien“ formuliert – etwa zum Umgang mit der unternehmenseigenen Informationstechnik.

Identifizieren kritischer IT-Ressourcen

Besonders wichtig ist das „Identifizieren kritischer IT-Ressourcen“. Diese Ressourcen muss der ISB „ermitteln, jährlich prüfen, ob die Aufstellung aktuell ist „und sie bei Bedarf anpassen“. Dazu muss das Unternehmen „seine zentralen Geschäftsprozesse und seine Prozesse mit hohem Schadenspotential identifizieren und dokumentieren“.

Weiter muss das Unternehmen „jene Informationen ermitteln, die besonders geschützt werden müssen“. Schließlich muss das Unternehmen „seine kritischen IT-Systeme, mobilen Datenträger und Verbindungen“ und „seine kritische Individualsoftware“ identifizieren. Zur systematischen Strukturierung und Absicherung der IT Systeme „muss eine Inventarisierung vorhanden sein, in der alle IT-Systeme des Unternehmens verzeichnet sind“.

Und das Unternehmen muss für kritische IT-Systeme eine „Risikoanalyse und -behandlung“ etablieren. Ein „existenzbedrohendes“ Risiko „muss“ nach Ansicht der VdS „unbedingt im Interesse des Unternehmens und der Verantwortlichen (Topmanagement!) umgehend eskaliert und unverzüglich behandelt werden“.

Für die Inbetriebnahme und Änderung der IT-Systeme muss über den gesamten Lebenszyklus hinweg ein Verfahren implementiert werden, das die Kritikalität überwacht und die Inventarisierung sicherstellt.

Bei der Ausmusterung und Weiterverwendung wiederum muss ein Verfahren entwickelt werden, mit dessen Hilfe die Inventarisierung aktualisiert und die auf den Systemen gespeicherten Informationen zunächst bei Bedarf gesichert und anschließend auf dem auszumusternden System gelöscht wird. Weitere Forderungen erhebt die VdS 3473 für „Netzwerke und Verbindungen“ sowie „mobile Datenträger“. Die Liste der Pflichten ließe sich seitenlang fortführen.

Zertifikate für die Cyber-Sicherheit

Wer die Tortur erfolgreich absolviert hat, dem winkt ein Zertifikat, das künftig nicht nur Kunden und Lieferanten, sondern vor allem auch Cyber-Versicherer, Banken und Investoren beeindrucken soll. Ich glaube: Es gibt keine Alternative zu deren systematischer, flächendeckender, und pro aktiver Erstellung. Die Verweigerer werden in zehn Jahren von der „Industrie 4.0“ bereits wieder ausgespuckt sein und auf ihren Insolvenzverwalter warten.

In der nächsten Ausgabe am 3. November 2016 werde ich nochmals auf Sicherheitskonzepte eingehen – am Beispiel von „Überlastungsangriffen“ (DDoS). hei